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Description 

[0001 ] La presente invention concerne u n procede de 
securisation de donnees, destine par exemple a etre 
mis en oeuvre par le microprocesseur d'une carte ban- 
calre ou une carte d'autorisetion d'acces lors d'une con- 
nexion a un terminal informatique d'euthentificetion. 
[0002] Les procedes de securisation de donnees de 
type connu mettent en oeuvre un algorithme cryptogra- 
phique comprenant des cycles d'execution d'operations 
rep6titives de traitement d'eiements de donnees conte- 
nus dans une memoire de la carte pour eieborer une 
information chiffree destln6e a etre communiquee au 
terminal informatique. 

[0003] Le document D1, Timing attacks on imple- 
mentations of Diffie-Hellman, RSA, DSS and other sys- 
tems" de Paul C. Kocher, publie le 1 8/08/1 996 considere 
le probleme de securisation de donnees dans une carte 
a puce. Dans le document sont presentees differentes 
techniques pour prevenir des attaques: en particulier 
pour les algorithmes RSA et Diffie-Helimann une signa- 
ture est calculee avant ("execution d'une operation de 
exponentiation modulaire. 

[0004] L'execution du procede par le microproces- 
seur de la carte engendre remission de slgnaux derives 
tels que des pics de consommation au niveau de Tali- 
mentation eiectrique du microprocesseur, ou des varia- 
tions du rayonnement eiectrornagnetique de sorte que 
I'enveloppe du rayonnement eiectrornagnetique est si- 
gnificative des donnees traitees. Un fraudeur desirant 
utiliser de f aeon non autorisee les cartes a microproces- 
seur peut lancer a plusieurs reprises I' execution du pro- 
cede et analyser les signaux derives 6mis pour etablir 
des correspondences entre les differentes operations 
de traitement et chaque signal ou serie de signaux. A 
partir de ces correspondences, et en soumettant par 
exemple la carte a des perturbations electromagneti- 
ques ou des baisses de tension a des instants precis du 
deroulement de I'algorithme, le fraudeur peut etudier 
i'information chiffree obtenue et les differences, ou au 
contraire I'absence de differences, entre les signaux de- 
rives emis pour decouvrir les donnees contenues dans 
la memoire de la carte. 

[0005] Pourcompliquer une telle analyse des signaux 
derives, on a pense a engendrer des signaux parasites 
venant s'ajouter aux signaux derives emis lors de l'exe- 
cution du procede. L'extractlon des signaux correspon- 
dent a l'execution du procede est alors plus delicate 
mals demeure possible. On a egalement pense a con- 
cevoir les oomposants eiectroniques de la carte et le 
programme d'execution du proced6 de sorte que les si- 
gnaux derives emis soient Independents de la valeur 
des donnees senslbles. Toutefols, ceci complique le 
realisation des cartes sans assurer une protection sa- 
tisfalsante des donnees. 

[0006] Un but de I'invention est de proposer un pro- 
cede de securisation efflcace ne presentant pas les In- 
convenlents precites. 



[0007] En vue de la realisation de ce but, on prevoit, 
selon invention, un proc6de de securisation de don- 
nees mettant en oeuvre un algorithme cryptoeraphlque 
d'execution d'operations de traitement d'eiements de 

5 donnees pour eiaborer une information chiffree, ce pro- 
cede comprenant au moins une etape de transformation 
aieatoire de l'execution d'au moins une operation d'un 
cycle a un autre ou de transformation aieatoire d'au 
moins un des elements de donnees de telle sorte que 

10 I'information chiffree soit inchangee par cette transfor- 
mation aieatoire. 

[0008] Par transformation aieatoire de l'execution 
d'au moins une operation, on entend une modification 
de I'ordre d'execution d'operations ou de parties d'ope- 

'5 rations, ou une modification du deroulement d'une seule 
operation. Ainsi, au moins une operation et/ou au moins 
une des donnees traitees sont modiflees aleatoirement, 
ce qui affecte de facon aieatoire les signaux derives 
emis. II est de ce fait tres difficile pour un fraudeur de 

20 distinguer les differentes operations de traitement et de 
decouvrir les donnees a partir des signaux derives. En 
outre, la modification aieatoire n'affecte pas I'informa- 
tion chiffree de sorte que celle-ci peut etre utilisee de 
facon habituelle apres son elaboration. 

25 [0009] D'autres caracteristiques et avantages de I'in- 
vention appareltront a la lecture de la description qui 
suit d'un mode de mise en oeuvre particulier non limitatif 
de I'invention, en relation avec la figure unique annexee 
illustrant sous forme d'un schema par blocs le d6roule- 

30 ment du procede selon ce mode de mise en oeuvre. 
[0010] Le precede de securisation seion I'invention 
est ici d6crit mettant en oeuvre un algorithme cryptogra- 
phique symetrique de type DES (abfeviation des termes 
DATA ENCRYPTION STANDARD) en vue d'eieborer 

35 une information chiffree C de 64 bits a partir d'un bloc 
message M et d'une cie secrete K1 eux-mdmes de 64 
bits. 

[001 1 ] Le procede debute par la permutation 1 0 des 
bits du bloc message M entre eux pour former le bloc 
40 MO. 

[0012] Le bloc MO est alors divise en deux blocs M1 
et M2 de 32 bits lors d'une etape de division 20. 
[001 3] II est ensuite proc6d6 a I'expanslon 30 du bloc 
M2 pour former un bloc M3 de 48 bits. Cette expension 
45 30 est par exemple realisee en decoupant le bloc M2 
en huit quartets et en ajoutant a chaque quartet le bit 
extreme adjacent des quartets encadrent le quertet con- 
cerne (les quertets extremes etant considers comme 
adjacentes). 

so [0014] Paralieiement a ces operations, une permuta- 
tion 110 est effectuee sur les bits de la cie K1 pour for- 
mer la cie K2. Les bits non significatifs de la cie K1 sont 
simultanement supprimes de sorte que la cl6 K2 a seu- 
lement 56 bits. 

ss [0015] Selon I'invention, les bits de la cl6K2 sont alors 
modifies aieetolrement lors d'une transformation 120. 
Les bits de la c!6 K3 correspondant aux bits modifies de 
la cl6 K2, ici marques par une etolle, sont memorises. 
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La transformation aleatoire 120 est par exemple reali- 
see en associant a la cie K2, par rintermediaire d'un 
opdrateur logique de type OU excluslf , un nombre a!6a« 
toire engendre par un g6n6rateur de nombres non pr6- 
dictlbtes de la carte. 

[0016] Une cie K4 est obtenue par la rotation 130 des 
bits de la cle K3. Puis, une permutation 140 est realisde 
sur les bits de la cle K4 pour former la cie K5. Simulta- 
nement a la permutation 140, les bits non significatifs 
de la cie K4 sont elimlnes de sorte que la cle K5 com- 
porte 48 bits. 

[0017] Le proc6de se poursuit par Passociation 210 
du bloc M3 et de la cle K5 par rintermediaire d'un ope- 
rates logique de type OU exclusif. Le resultat de cette 
association est le bloc R1 . 

[0018] La transformation inverse des bits du bloc R1 
correspondent aux bits modifies par la transformation 
120 est ensuite realisee pour former le bloc R2. Cette 
transformation 220 inverse de la transformation 120 vi- 
se a remettre les bits du bloc R1 correspondant aux bits 
marques d'une etoile dans Tetat dans lequel ils auraient 
ete en I'absence de la transformation 120. 
[0019] II est ensuite proc6de, de facon classique, a la 
division et au traitement 230 du bloc R2, a la permuta- 
tion 240 des bits du bloc R3 formes lors de I'etape 230, 
et a I'association 250 du bloc R4 resultat de I'etape 240 
au bloc M1 par un operateurOU exclusif pour former le 
bloc R5. 

[0020] Le groupe d'operations, designe de maniere 
generale par la reference 270, est ensuite execute a 
nouveau a quinze reprises en affectant, a chacune de 
ceiles-ci. la valeur du bloc M1 au bloc M2 et la valeur 
du bloc R5 au blocMI lors d'une etape d'affectation 260. 
[0021] Le proc6d6 se termine par I'operation 300 
d'obtention de I'inf ormatlon chiffr6e C par la permutation 
inverse et la reunion du bloc dernier M2 et du bloc der- 
nier R5 obtenus. 

[0022] On comprend que I'etape de modification alea- 
tolre de la cle K2 comprend la phase de transformation 
1 20 et la phase de transformation inverse 220. Ces deux 
phases permettent d'obtenir une Information chlffree C 
qui n'est pas affected par cette modification aleatoire. 
[0023] On pourrait egaiement realiser de la meme 
maniere une modification aleatoire du bloc M2 et/ou 
d'une autre donnee. 

[0024] Selon un autre mode de mise en oeuvre de In- 
vention, lequel peut etre associe a une etape de modi- 
fication telle que prec6demment decrite, I'execution 
d'au molns une operation peut etre modifiee de facon 
aleatoire d'un cycle a I'autre, un cycle pouvant etre un 
cycle complet d'executlon de I'algorfthme ou un cycle 
intermediate d'executlon d'un groupe d'operations. 
[0025] Par exemple, une determination aleatoire de 
i'ordre d'execution de certaines operations peut etre 
reails6e au cours d'un cycle d'executlon de 1'algorlthme. 
Les operations retenues serontcelles dont I'ordre d'exe- 
cutlon tes unes par rapport aux autres n'infiuent pas sur 
le resultat. Pour realiser cette determination, on pourra 



pr6voir a la fin des operations cholsies un saut condi- 
tlonnel vers certaines operations en f onctlon de la valeur 
d'un nombre aleatoire ou definir un tableau des adres- 
ses des differentes operations parcouru de facon a!6a- 
5 toire. 

[0026] A tltre d'exemple, la permutation 1 0 des bits du 
bloc message M pourrait etre effectuee apr6s la permu- 
tation 110 des bits de la cle K1 ou inversement. 
[0027] De meme, il pourrait etre pr6vu une determi- 
ne nation aleatoire de I'ordre d'execution des operations du 
groupe 270 pour chaque cycle intermediaire d'execution 
de cellesci (16 cycles intermediaires d'executlon de ces 
operations pour un cycle complet d'execution de i'algo- 
rithme). La encore, I'ordre d'execution de ces operations 
'5 sera choisi pour ne pas influer sur le resultat. 

[0028] Par ailleurs, pour certaines operations, les 
donnees sont traitees par elements. Ainsi, lors de I'ex- 
pansion 30, les blocs M2 sont traites par quartets. Lors 
de cette operation, on peut pr6voir de determiner atea- 
20 toirement I'ordre de traitement des differents quartets. 
De meme, lors de la permutation 140 les bits de la cie 
K4 sont traites individuellement. Une etape de determi- 
nation aleatoire de I'ordre de traitement des bits peut 
egaiement etre pr6vue pour I'execution de cette permu- 
25 tation. Les quartets du bloc M2 peuvent egaiement etre 
traites en alternance avec les bits de la cie K4, c'est-a- 
dire que Ton traite par exemple un premier quartet du 
bloc M2 puis une s6rie de bits de la cie K4, puis un 
deuxidme quartet du bloc M2 etc. , en memorisant a cha- 
30 que fois les elements de donnee traites af in de contrdler 
que toutes les operations requises sont bien executees. 
[0029] Bien entendu, I'invention n'est pas limitee au 
mode de realisation qui vient d'etre decrit, mais englobe 
au contraire toute variante reprenant, avec des moyens 
55 equivalents, ses caracteristiques essentielles. 

[0030] En particulier, bien que I'invention ait 6te de- 
crite en relation avec un algorithme de type DES, I'in- 
vention peut etre appllquee a d'autres algorithmes sy- 
metriques qui precedent par modification de bits. Ainsi, 
40 la modification etant effectuee au moyen d'un operateur 
logique du type OU EXCLUSIF, la longueur des ele- 
ments de donnees non transformes est identique a ia 
longueur de ces elements de donnees transformes. 
[0031] De plus, les nombres de bits des donnees ne 
45 sont mentionn6s qu'a titre Indicatif et peuvent §tre mo- 
difies pour etre adaptes au degre de s6curisatlon envi- 
sage. 

[0032] On notera par ailleurs que tous les elements 
de donnees M, M0, Ml, M2, M3, K1, K2, K3, K4, K5, 

so R1 , R2, R3, R4 et R5 peuvent etre transformes en leur 
associant, par rintermediaire de Toperateur logique OU 
EXCLUSIF, un nombre aleatoire sachant que, poste- 
rieurement a cette etape de transformation aleatoire, on 
procedera a une etape de transformation inverse de sor- 

55 te que I'information chiffr6e C soit Inchangee par lesdl- 
tes transformations. 

[0033] En particulier, les elements de donnees peu- 
vent etre des c!6s K1 , K2, K3, K4, K5 ou des blocs de 
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message M , MO, M 1 , M2, M3 ou des blocs de messages 
assocISs a une clS par un opSrateur logique du type OU 
EXCLUSIF R1, R2, R3, R4, R5. 
[0034] On notera enfin que, si I'Stape de transforma- 
tion alSatoire est une Stape prSaiable au groupe d'opS- s 
rations execute* a plusieurs reprises et si I'Stape de 
transformation inverse est une Stape postSrieure audit 
groupe d'opSrations, il suffit de gSnSrer un nombre alSa- 
toire une fois et de traiter fe bloc de message M par i'al- 
gorithme pour obtenir une information chiffrSe, tous les 10 
SISments de donnSes du bloc 6tant modifies. La chaTne 
des donnSes est protSgSe de bout en bout. En outre, en 
ne muttipliant pas les Stapes de transformation et le 
nombre de nombres alSatoires gSnSrSs, I'algorithme est 
mis en oeuvre rapidement, ce qui est nScessaire dans 15 
le cas d'une carte a puce ou la durSe de I'exScution d'un 
algorithme doit etre minimale. 



Revendicatlons 20 

1. ProcSdS de sScurisation de donnSes (M) mettant 
en oeuvre, dans un microprocesseur d'une carte a 
puce, un algorithme cryptographique d'exScution 
d'opSrations de traitement d'SISments de donnSes 25 
(M, MO, M1 ( M2, M3, K1, K2, K3, K4, K5, R1, R2, 

R3, R4, R5) pour Slaborer une information chiffrSe 
(C), caracterlse en ce qu'il comprend au moins, 
d'une part, une Stape de transformation (120) alSa- 
toire de bits d'au moins un des SISments de don- 30 
nSes (K2) en associant audit SISment de donnSes 
(K2), par I'intermSdiaire d'un opSrateur logique du 
type OU EXCLUSIF, un nombre alSatoire, et, 
d'autre part, postSrieurement a cette Stape de 
transformation alSatoire, une Stape de transforma- 35 
tion inverse (220), de telle sorte que I'information 
chiffrSe (C) soit inchangSe par ces Stapes de trans- 
formation (120, 220). 

2. ProcSdS de sScurisation selon la revendication 1, 40 
caracterlsS en ce qu'un SISment de donnees 
transforms de maniere alSatoire est une clS (Kl, K2, 

K3, K4, K5). 

3. ProcSdS de sScurisation selon I'une des revendica- 45 
tions 1 ou 2, caracterlsS en ce qu'un SISment de 
donnes transforms de maniere alSatoire est un bloc 

de message (M, MO, M1, M2, M3). 

4. ProcSefS de securisation selon I'une des revendica- so 
tlons 1 , 2 ou 3, caracterlsS en ce qu'un SISment 

de donnSes transforms de maniere alSatoire est un 
bloc de message associS a une cIS par un opSrateur 
logique du type OU EXCLUSIF (R1, R2, R3, R4, 
R5). 55 

5. ProcSdS de securisation selon I'une des revendica- 
tlons prScSdentes, caractSrlsS en ce que ('algorith- 



me cryptographique d'exScution d'opSrations de 
traitement de donnSes (M, MO, M1 , M2, M3, K1 , K2, 
K3, K4, K5, R1 , R2, R3, R4, R5) comprend un grou- 
pe d'opSrations (270) exScutS a plusieurs reprises. 

6. ProcSdS de sScurisation selon la revendication 5, 
caracterlse en ce que I'Stape de transformation 
alSatoire est une Stape prSalable au groupe d'opS- 
rations (270) exScutS a plusieurs reprises et en ce 
que I'Stape de transformation inverse est une Stape 
postSrieure audit groupe d'opSrations (270). 

7. ProcSdS de securisation selon I'une des revendica- 
tions prScSdentes, caractSrise en ce qu'il com- 
prend en outre une Stape de modification alSatoire 
de i'ordre d'exScution des opSrations du groupe 
d'opSrations (270). 

8. ProcSdS de sScurisation selon I'une des revendica- 
tions prScSdentes, caracterlse en ceque I'algorith- 
me cryptographique est du type DATA ENCRYP- 
TION STANDARD. 

9. Cartes a puce comprenant un microprocesseur pro- 
grammS pour mettre en oeuvre un algorithme cryp- 
tographique d'exScution d'opSrations de traitement 
d'SJSments de donnSes (M, M0, M1, M2, M3, K1, 
K2, K3, K4, K5, R1 , R2, R3, R4, R5) pour Slaborer 
une information chiffrSe (C), le procSdS de sScuri- 
sation de donnSes (M) comprenant au moins, d'une 
part, une Stape de transformation (1 20) alSatoire de 
bits d'au moins un des SISments de donnSes (K2) 
en associant audit SISment de donnSes (K2), par 
PintermSdiaire d'un opSrateur logique du type OU 
EXCLUSIF, un nombre alSatoire, et, d'autre part, 
postSrieurement a cette Stape de transformation 
alSatoire, une Stape de transformation inverse 
(220), de telle sorte que I' information chiffrSe (C) 
soit inchangSe par ces Stapes de transformation 
(120, 220). 

10. Produit de programme d'ordinateur pour un micro- 
processeur d'une carte a puce, (edit produit de pro- 
gramme d'ordinateur comprenant un jeu d'instruc- 
tions qui, quand celui-ci est chargS dans le micro- 
processeur, amene le microprocesseur a exScuter 
un algorithme cryptographique impliquant des opS- 
rations de traitement d'SISments de donnSes (M, 
M0, M1, M2, M3, K1, K2, K3, K4, K5, R1, R2, R3, 
R4, R5) pour Slaborer une information chiffrSe (C), 
les opSrations de traitement d'SISments de donnSes 
comprenant au moins, d'une part, une Stape de 
transformation (1 20) alSatoire de bits d'au moins un 
des SISments de donnSes (K2) en associant audit 
SISment de donnSes (K2), par I'intermSdiaire d'un 
opSrateur logique du type OU EXCLUSIF, un nom- 
bre alSatoire, et, d'autre part, postSrieurement a 
cette Stape de transformation alSatoire, une Stape 
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de transformation Inverse (220), de telle sorte que 
I'information chiffree (C) solt inchangee parces eta- 
pes de transformation (120, 220). 



PatentansprQche 

1. Datenslcherungsverfahren (M), be! dem in einem 
Mikroprozessor einer Chlpkarte ein kryptographi- 
scher Operationsausfuhrungsalgorfthmus zur Ver- 
arbeltung von Datenelementen (M, MO, M1, M2, 
M3, K1, K2, K3, K4, K5, R1 ( R2, R3, R4, R5) zum 
Einsatz kommt, urn eine verschlusselte Information 
(C) herzustellen, dadurch gekennzelchnet, dass 
es zum einen mindestens elne zufailige Bit-Um- 
wandiungsphase (120) von mindestens einem der 
Datenelemente (K2) umfasst, indem dem besagten 
Datenelement (K2) uber einen booleschen Opera- 
tor vom Typ ausschiieBendes ODER eine Zufalls- 
zahl zugeordnet wird und zum anderen nach dieser 
zufalligen Umwandlungsphase eine umgekehrte 
Umwandlungsphase (220) umfasst, so dass die 
verschlusselte Information (C) durch diese Unv 
wandlungsphasen (120, 220) nicht verandert wird. 

2. Sicherungsverfahren nach Anspruch 1, dadurch 
gekennzelchnet, dass eln auf zufailige Art umge- 
wandeltes Datenelement ein Schlussel (K1 , K2, K3, 
K4 t K5) 1st. 

3. Sicherungsverfahren nach einem der Anspruche 1 
oder 2, dadurch gekennzelchnet, dass ein auf zu- 
failige Art umgewandeltes Datenelement ein Mel- 
dungsblock (M, M0, Ml, M2, M3) 1st. 

4. Sicherungsverfahren nach einem der Anspruche 1 , 
2 oder 3, dadurch gekennzelchnet, dass ein auf 
zufailige Art umgewandeltes Datenelement ein 
durch einen booleschen Operator vom Typ aus- 
schiieBendes ODER (R1, R2, R3, R4, R5) einem 
Schlussel zugeordneter Meldungsblock 1st. 

5. Sicherungsverfahren nach einem der vorausge- 
henden AnsprOche, dadurch gekennzelchnet, 
dass der kryptographlsche Operatlonsausfuh- 
rungsalgorithmus zur Verarbeitung von Daten (M, 
MO, M1, M2, M3, K1, K2, K3, K4, K5, R1, R2, R3, 
R4, R5) eine Reihe von Operationen (270) umfasst, 
die mehrmals ausgefOhrt wird. 

6. Sicherungsverfahren nach Anspruch 5, dadurch 
gekennzelchnet, dass die zufailige Umwand- 
lungsphase eine der mehrmals ausgefuhrten Reihe 
von Operationen (270) vorausgehende Phase 1st 
und dass die umgekehrte Umwandlungsphase 
nach der besagten Reihe von Operationen (270) 
stattfindet. 



7. Sicherungsverfahren nach einem der vorausge- 
henden AnsprOche, dadurch gekennzelchnet, 
dass es zudem eine Phase der zufalligen Anderung 
der AusfGhrungsreihenfolge der Operationen der 

5 Operationsreihe (270) umfasst. 

8. Sicherungsverfahren nach einem der vorausge- 
henden AnsprOche, dadurch gekennzelchnet, 
dass der kryptographlsche Algorithmus vom Typ 

10 DATA ENCRYPTION STANDARD 1st. 

9. Chipkarten mlt einem programmierten Mikropro- 
zessor zum Einsatz eines kryptographischen Ope- 
rationsausfuhrungsalgorfthmus zur Verarbeitung 

'5 von Datenelementen (M, M0, M1 , M2, M3, K1 , K2, 
K3, K4, K5, R1 , R2, R3, R4, R5), urn eine verschlus- 
selte Information (C) herzustellen, wobel das Da- 
tens icherun gsverf ah ren (M) zum einen mindestens 
eine zufailige Bit-Umwandiungsphase (120) von 

20 mindestens einem der Datenelemente (K2) um- 
fasst, indem dem besagten Datenelement (K2) uber 
einen booleschen Operator vom Typ ausschiieBen- 
des ODER eine Zufallszahl zugeordnet wird und 
zum anderen nach dieser zufalligen Umwandlungs- 

25 phase eine umgekehrte Umwandlungsphase (220) 
umfasst, so dass die verschlusselte Information (C) 
durch diese Umwandlungsphasen (120, 220) nicht 
verandert wird. 

30 10. Computerprogrammproduktfur einen Mikroprozes- 
sor einer Chipkarte, wobel dieses eine Reihe von 
Anleitungen umfasst, die, wenn sie im Mikroprozes- 
sor geladen ist, den Mikroprozessor dazu fuhrt, ei- 
nen kryptographischen Algorithmus auszufuhren, 

35 bel dem Operationen zur Verarbeitung von Daten- 
elementen (M, M0, M1 , M2, M3, K1 , K2, K3, K4, K5, 
R1 , R2, R3, R4, R5) durchgefuhrt werden, urn eine 
verschlusselte Information (C) herzustellen, wobei 
die Verarbeltungsoperationen von Datenelementen 

*o zum einen mindestens eine zufailige Bit-Umwand- 
lungsphase (120) von mindestens einem der Da- 
tenelemente (K2) umfasst, Indem dem besagten 
Datenelement (K2) Ober einen booleschen Opera- 
tor vom Typ ausschiieBendes ODER eine Zufalls- 

45 zah! zugeordnet wird und zum anderen nach dieser 
zufalligen Umwandlungsphase eine umgekehrte 
Umwandlungsphase (220) umfasst, so dass die 
verschlQsselte Information (C) durch diese Um- 
wandlungsphasen (120, 220) nicht verandert wird. 

50 

Claims 

1. Method to secure data (M) implementing, in a 
55 smartcard microprocessor, a cryptographic algo- 
rithm executing operations to process data ele- 
ments (M, M0, M1, M2, M3, K1, K2, K3, K4, K5, R1 , 
R2, R3, R4, R5) to generate encrypted Information 



5 
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(C) , characterised In that It comprises at least first- 
ly a random bit conversion step (120) to convert at 
least one of the data elements (K2) associating with 
said data element (K2), using a logical operator of 
type EXCLUSIVE OR, a random number and sec- s 
ondiy, after this random conversion step, an inverse 
conversion step (220), such that the encrypted in- 
formation (C) is unchanged by these conversion 
steps (120, 220). 

10 

2. Method to secure data according to claim 1 , char- 
acterised In that a randomly converted data ele- 
ment is a key (K1 , K2, K3, K4, K5). 

3. Method to secure data according to claim 1 or 2, « 
characterised In that a randomly converted data 
element is a message block (M, MO, M1 , M2, M3). 

4. Method to secure data according to claim 1 , 2 or 3, 
characterised In that a randomly converted data 20 
element is a message block associated with a key 

by a logical operator of type EXCLUSIVE OR (R1 , 
R2, R3, R4, R5). 



type EXCLUSIVE OR, a random number and sec- 
ondly, after this random conversion step, an inverse 
conversion step (220), such that the encrypted in- 
formation (C) is unchanged by these conversion 
steps (120, 220). 

10. Computer program product for a smartcard micro- 
processor, said computer program product com- 
prising a set of instructions which, when it is loaded 
in the microprocessor, makes the microprocessor 
execute a cryptographic algorithm involving opera- 
tions to process data elements (M, MO, M1 , M2, M3, 
K1 , K2, K3, K4, K5 t R1 , R2, R3, R4, R5) to generate 
encrypted information (C), the operations to proc- 
ess data elements comprising at least firstly a ran- 
dom bit conversion step (120) to convert at least 
one of the data elements (K2) associating with said 
data element (K2) t using a logical operator of type 
EXCLUSIVE OR, a random number and secondly, 
after this random conversion step, an inverse con- 
version step (220), such that the encrypted informa- 
tion (C) is unchanged by these conversion steps 
(120, 220). 



5. Method to secure data according to one of the pre- 25 
vious claims, characterised in that the crypto- 
graphic algorithm executing operations to process 
data (M, MO, M1 , M2, M3, K1 , K2, K3 t K4, K5, R1 , 
R2, R3, R4, R5) comprises a group of operations 
(270) executed several times. 30 



6. Method to secure data according to claim 5, char- 
acterised In that the random conversion step is a 
step carried out prior to the group of operations 
(270) executed several times and In that the in- 35 
verse conversion step is a step carried out after said 
group of operations (270). 



7. Method to secure data according to one of the pre- 
vious claims, characterised In that it comprises in 40 
addition a step to randomly modify the order of ex- 
ecution of the operations In the group of operations 
(270). 



8. Method to secure data according to one of the pre- 45 
vious claims, characterised In that the crypto- 
graphic algorithm is of type DATA ENCRYPTION 
STANDARD. 



9. Smartcard comprising a microprocessor pro- so 
grammed to implement a cryptographic algorithm 
executing operations to process data elements (M, 
MO, M1, M2, M3, K1, K2, K3, K4, K5, R1, R2, R3, 
R4, R5) to generate encrypted Information (C), the 
method to secure data (M) comprising at least firstly 55 
a random bit conversion step (120) to convert at 
least one of the data elements (K2) associating with 
said data element (K2), using a logical operator of 



6 



EP 1 064 752 B1 



10 



20 



I 

"*\ Permutation du bloc 
Message M -*M0 



I 



Permutation des bits, 
delade K1-*cleK2 



r 



—mn MO 
/ \ 

nrzim ulizm 

M1 M2 



r 



Expansion du bloc M2«*M3 



30 



110 



Transformation aleatoire 

de bits de la de K2: ' 
ibhHlQl HEDED K2 

miiumi lo i unim de K3 



I 



120 



Rotation des bits de 
lade K3-*deK4 



I 



Permutation des bits de 
ladeK4-*deK5 ' 



130 
140 



M3XOR deK5^bloc R1 




1 



210 



Transformation inverse des 
bits du bloc R1 correspondant 
aux bits * de la de K3-*blocR2 



220 



□vision et traitement 
du bloc R2-* bloc R3 



I 



3- 



230 



Permutation des bits du bloc R3-»bloc R4 \^ 



240I 



R4XORMWblocR5 -| 








Permutatior 
reunion du 
du bloc R£ 


i inverse et 
bloc M2 et 
>«*blocC 



300 



7 



